Il Microsoft Store (ex Windows Store) è uno dei negozi online di app e giochi più affidabili dal punto di vista della sicurezza con controlli periodici e severi.
Infatti, prima della pubblicazione di un’app, vengono effettuati numerosi test automatici e umani che, da una parte rallentano di qualche giorno il rilascio sullo store, ma dall’altra garantiscono un ottimo livello di sorveglianza. Tuttavia la perfezione non esiste, in particolar modo per quanto concerne le Progressive Web App (conosciute più brevemente anche come PWA) che possono sfruttare risorse e codici esterni potenzialmente dannosi. A tal proposito, il Colosso di Redmond ne ha appena rimosse 8 e, grazie alle indagini condotte dalla società statunitense Symantec e poi diffuse da ZDNet, è emerso che queste effettuavano il mining di criptovaluta (nello specifico Monero) sfruttando la CPU degli utenti a loro completa insaputa.
Il rapporto pubblicato da Symantec descrive il metodo utilizzato per commettere quella che è un’operazione certamente in contrapposizione alle politiche del Microsoft Store: in sintesi, è stato utilizzato Google Tag Manager (GTM) all’interno del codice sorgente, dove si trovava anche la versione pirata del famigerato Coinhive, una libreria JavaScript che molti hacker hanno segretamente aggiunto sui siti malevoli per estrarre Monero mediante i browser dei visitatori. Le 8 PWA provenivano teoricamente da sviluppatori diversi ma, analizzandole per bene, è evidente come il malintenzionato sia soltanto uno, inoltre, sono state denominate in modo tale da trarre in inganno gli utenti meno esperti:
- Fast-search Lite
- Battery Optimizer (Tutorials)
- VPN Browsers +
- Downloader per i video di YouTube
- Clean Master + (tutorial)
- FastTube
- Findoo Browser 2019
- Findoo Mobile & Desktop Search.
Le PWA, per loro stessa natura, possono caricare codice dinamicamente, quindi codice non noto a priori che può cambiare in ogni momento.
Microsoft potrebbe rinforzare le policy di sicurezza, permettendo la pubblicazione di questa tipologia “delicata” di app alle sole aziende fidate come Facebook, Twitter, Amazon, Google, ecc. e non a cani e porci!
Vero, infatti bastava avvisare l’utente. Ci sono app che lo fanno automaticamente a tua insaputa. Su alcuni blog addirittura parlano di virus 🤣. Prestare un pò delle tue risorse non è scoprire un bug sulla sicurezza ma semplicemente permettere che una libreria possa farlo ed è tecnicamente legale. Non lo è se l’utente è ignaro di tutto ciò o è stato ingannato, cosa ben diversa. La sicurezza c’entra molto poco.
Comments are closed.